目次
このページのトピック
Container Security
Smart Check

よくある質問

Container Security

API呼び出しで「401 Unauthorized」というメッセージが表示されるのはなぜですか?

これは通常、 Container Securityでリクエストを認証するためのAPIキーを作成していないためです。 Trend Micro Cloud One APIキーの作成と使用については、 APIキーのヘルプを参照してください。 非推奨:従来のAPIキーの作成と使用については、 Workload SecurityAPIキーのヘルプを参照してください。

Container Security では、Kubernetesクラスタへの受信ネットワークアクセスが必要ですか?

Container Security は、現在、受信ネットワークアクセスを必要とせず、受信ファイアウォールルールに追加のIPアドレスを追加する必要もありません。アドミッションコントローラおよび Deep Security Smart Check から Trend Micro Cloud One™- Container Securityへの通信は、HTTPSポート443経由でのみ送信が開始されます。

送信トラフィックを制限する場合、インターネットとの通信にどのURLを許可する必要がありますか。
  • Trend Micro Cloud One ( <region>Trend Micro Cloud Oneリージョン):
    • https://container.<region>.cloudone.trendmicro.com
    • https://iot.container.<region>.cloudone.trendmicro.com
  • ランタイムセキュリティ( Trend Micro Cloud One リージョンのエンドポイントを許可する):
    • 米国: https://sensor-components-prod-componentsstoragebucket-1tgz7758j5977.s3.amazonaws.com
    • インド: https://sensor-components-prod-componentsstoragebucket-4t1tmfipzmxq.s3.amazonaws.com
    • 英国: https://sensor-components-prod-componentsstoragebucket-177dw039ojo4z.s3.amazonaws.com
    • 日本: https://sensor-components-prod-componentsstoragebucket-a1g8t8ve13ql.s3.amazonaws.com
    • ドイツ: https://sensor-components-prod-componentsstoragebucket-dt9l26kxtrha.s3.amazonaws.com
    • オーストラリア: https://sensor-components-prod-componentsstoragebucket-mqamem5enf3f.s3.amazonaws.com
    • カナダ: https://sensor-components-prod-componentsstoragebucket-1lllr5j8i7dmf.s3.amazonaws.com
    • シンガポール: https://sensor-components-prod-componentsstoragebucket-x75mv7yqzt9.s3.amazonaws.com
  • ランタイム脆弱性検索 (Trend Micro Cloud Oneリージョン のエンドポイントを許可します):
    • 米国: https://asaas-scan-upload-us-east-1-prod.s3.us-east-1.amazonaws.com
    • インド: https://asaas-scan-upload-ap-south-1-prod.s3.ap-south-1.amazonaws.com
    • 英国: https://asaas-scan-upload-eu-west-2-prod.s3.eu-west-2.amazonaws.com
    • 日本: https://asaas-scan-upload-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com
    • ドイツ: https://asaas-scan-upload-eu-central-1-prod.s3.eu-central-1.amazonaws.com
    • オーストラリア: https://asaas-scan-upload-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com
    • カナダ: https://asaas-scan-upload-ca-central-1-prod.s3.ca-central-1.amazonaws.com
    • シンガポール: https://asaas-scan-upload-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com
  • Trend Micro Artifact Scanner (Trend Micro Cloud One regionのエンドポイントを許可):
    • 米国:
      • https://artifactscan.us-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-us-east-1-prod.s3.us-east-1.amazonaws.com
      • https://asaas-scan-vuln-us-east-1-prod.s3.us-east-1.amazonaws.com
    • インド:
      • https://artifactscan.in-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-ap-south-1-prod.s3.ap-south-1.amazonaws.com
      • https://asaas-scan-vuln-ap-south-1-prod.s3.ap-south-1.amazonaws.com
    • 英国:
      • https://artifactscan.gb-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-eu-west-2-prod.s3.eu-west-2.amazonaws.com
      • https://asaas-scan-vuln-eu-west-2-prod.s3.eu-west-2.amazonaws.com
    • 日本:
      • https://artifactscan.jp-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com
      • https://asaas-scan-vuln-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com
    • ドイツ:
      • https://artifactscan.de-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-eu-central-1-prod.s3.eu-central-1.amazonaws.com
      • https://asaas-scan-vuln-eu-central-1-prod.s3.eu-central-1.amazonaws.com
    • オーストラリア:
      • https://artifactscan.au-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com
      • https://asaas-scan-vuln-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com
    • カナダ:
      • https://artifactscan.ca-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-ca-central-1-prod.s3.ca-central-1.amazonaws.com
      • https://asaas-scan-vuln-ca-central-1-prod.s3.ca-central-1.amazonaws.com
    • シンガポール:
      • https://artifactscan.sg-1.cloudone.trendmicro.com
      • https://cli.artifactscan.cloudone.trendmicro.com
      • https://asaas-scan-upload-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com
      • https://asaas-scan-vuln-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com
  • テレメトリ: https://telemetry.deepsecurity.trendmicro.com
Smart Check コンテナでポリシーのバイパスを許可する方法

Smart Check イメージの除外を作成する必要があります。

  1. Container Security Webコンソールを開きます。
  2. Policiesに移動します。 3.変更するポリシーを選択します。 4.[ Deployment ]および[ Continuous ]タブで、[ Exceptions ]セクションまでスクロールし、この除外を有効にします。 Allow images with names that start with deepsecurity/ Container Securityのポリシー例外インタフェース
ポリシーの作成時に正規表現はサポートされますか?

最初のリリースでは、イメージのレジストリ、名前、およびタグに「次を含む」および「で始まる」というキーワードがサポートされています。これにより、基本的な正規表現のインタフェースが提供されます。

Kubernetesクラスタごとに独自のアドミッションコントローラが必要ですか?

はい。Kubernetesクラスタにはそれぞれ独自のアドミッションコントローラが必要です。必要に応じて、必要な複製をスケーリングできます。初期設定は1です。

アドミッションコントロールWebフックの検証により、 Container Security でコンテナの設定が変更されますか?

いいえ。ポリシー定義で配信要求が許可または拒否されている場合にのみ検証されます。

検証フェーズで kubectl apply -f <...>を実行すると、アドミッションコントローラは Container Securityにクエリを実行しますか?その場合、クエリごとにローカルキャッシュが使用されていますか?

はい。アドミッションコントローラは、 kubectl create または kubectl applyのどちらを実行する場合でも、Kubernetesで確認要求が発生するたびに Container Security にクエリを実行します。

ポリシーを常に最新の状態にするために、クエリまたはポリシーでローカルキャッシュが使用されていません。

初期設定では、kube-system名前空間からのレビュー要求は Container Securityに転送されません。詳細については、 アドミッションコントローラのyamlファイルを参照してください。

Container Security のテレメトリの用途アドミッションコントロールから送信されるデータの種類

データ収集とテレメトリの詳細については、「 Container Security Data Collection」を参照してください。

Cloud One への接続に失敗した場合、管理者に検証プロセスの問題について通知されますか?その場合、どのように通知されますか。通知を設定できますか。

アラートは発令されませんが、24時間操作がないとクラスタページに警告アイコン(警告アイコン)が表示され、アドミッションコントローラにエラーログが記録されます。また、クラスタでログの出力先を設定することもできます。これにより、のログソリューションをKubernetesと統合できます。

Cloud One が応答しない場合は、 failurePolicy プロパティを変更して処理を設定することもできます。 failurePolicy は初期設定で Ignoreに設定されており、 Cloud One にアクセスできない場合はアドミッションリクエストが許可されます。 failurePolicyFailに設定すると、アドミッション要求は失敗します。

アドミッションコントローラの複製数を増やす必要があるのはどのような場合ですか?

多数のアドミッション要求が同時に発生する可能性がある大規模な環境では、アドミッションコントローラの複製数を増やすことを検討してください。アドミッション要求は、ポッドの複製数が増えた場合や、新しいデプロイが発生した場合などに発生します。

複数のコンテナを持つポッドを例外に追加するにはどうすればよいですか?

複数のコンテナを持つポッドは、内部のすべてのコンテナに対して例外を設定する必要があります。Container Security は、要求されたすべてのコンテナがポリシールールに違反していないか、例外条件を満たしていない場合にのみ許可要求を許可します。

ポッドがネットワークアクセスから隔離されないのはなぜですか?

継続的コンプライアンスポリシーまたはランタイムルールで「隔離」処理を使用する場合は、保護対象リソースが実行されているKubernetesクラスタでKubernetesネットワークポリシーを有効にする必要があります。Kubernetesネットワークポリシーを有効にするには、 ヘルムチャートのREADMEにあるガイドを使用して、NetworkPolicyをサポートするネットワークプラグインをインストールします。

脆弱性ビューに脆弱性が表示されないのはなぜですか?

手順については、ランタイム脆弱性検索のトラブルシューティング を参照してください。

クラスタに複数の検索ツールをインストールできますか?

クラスタごとに1つの検索ツールのみを含めることをお勧めします。このようなツールを複数同時に実行すると、両方のツールが互いのポッドを継続的に検索するという予期しない動作が発生する可能性があるためです。この状況を回避できない場合は、オーバーライドファイルに以下を追加することで、他の検索ツールの名前空間をContainer Security検索から除外できます。 

cloudOne:
    exclusion:
        namespaces: [list, of, namespaces]
また、 Container Securityをインストールした名前空間を他の検索ツールによる検索から除外することをお勧めします。

脆弱性Scannerポッドの最大同時実行数を増やす必要があるのはどのような場合ですか?

大規模なクラスタでは、脆弱性Scannerポッドの初期設定の最大同時実行数 を増やすことで、より多くのクラスタリソースを使用して検索結果を高速化できます。 Scannerポッドの同時実行数の制限は、クラスタ内でのContainer Securityのリソース使用量を制限するためのものです。たとえば、同時実行数数の制限が5に設定されている場合、一度にスキャンできる一意のイメージは最大5つです。 Scannerポッドの同時実行数制限の変更は、オーバーライドファイルを使用して行うことができます。

cloudOne:
    scanManager:
        maxJobCount: 15
脆弱性Scannerポッドの同時実行数数の上限を引き上げる場合は、追加のScannerポッドを処理するのに十分なリソースがクラスタにあることを確認してください。各Scannerポッドの初期設定のリソース要件は、ヘルムチャート で指定されます。

プライベートGoogle Kubernetes Engine (GKE) クラスタ に制限はありますか。

アドミッションWebhookを使用するには、プライベートGKEクラスタにVirtual Private Cloudネットワークファイアウォールルールが追加で必要です。マスターの送信元IP範囲からTrend Micro addmission controller pod へのトラフィックを許可するファイアウォールルールを追加する方法については、「特定の使用例に対するファイアウォールルールの追加」を参照してください。

​ Trend Micro admission controller podはポート8443を有効にしました。次の例は、ファイアウォールルールを追加するために使用するgcloudコマンドを示しています。 ​ 

```gcloud compute firewall-rules create "allow-apiserver-to-admission-webhook-8443" \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges ${CONTROL_PLANE_RANGE} \
    --rules tcp:8443 \
    --description="Allow apiserver access to admission webhook pod on port 8443" \
    --target-tags ${TARGET}
```

Smart Check

Smart Check は、パッケージマネージャでインストールされたパッケージの脆弱性のみを検出しますか?

Smart Check は、インストール済みのパッケージリストと、一般的にインストールされる一連のアプリケーションの両方を、ファイルシステムに直接コピーして検索します。ラボチームは、サポート対象のアプリケーションに関する最新情報を含むアクティブなフィードを提供します。

Smart Check は自動的にセキュリティアップデートを取得しますか、またはセキュリティアップデートを取得するためにアップグレードする必要がありますか?

Deep Security Smart Check は、不正プログラムの詳細と脆弱性定義を自動的にアップデートします。新しい機能やセキュリティアップデートを含むソフトウェアアップデートを入手するには、アップグレードする必要があります。

実稼働レジストリに到達する前にイメージを検索する方法

手順については、 レジストリ前スキャン の構成を参照してください。

脆弱性検索またはコンテンツ検索の結果をオーバーライドする方法

検索で脆弱性またはコンテンツ検索の問題が検出されたものの、それが問題ではないとわかっている場合は、 Smart Check APIを使用してオーバーライドできます。詳細については、APIのオーバーライドセクション を参照してください。

イメージが一般的なPCI-DSSコンプライアンス要件を満たしているかどうかを確認する方法

Smart Check APIのチェックリスト機能を使用して、検索されたイメージが一般的なPCI要件に準拠しているかどうかを確認できます。チェックリスト機能は現在、 CentOS および Red Hat イメージでのみサポートされています。詳細については、 APIの [Scans] セクション を参照してください。